Présentation des balises FQDN
Une balise FQDN représente un groupe de noms de domaine complets (FQDN) associés à des services Microsoft bien connus. Vous pouvez utiliser une balise FQDN dans les règles d’application pour autoriser le trafic sortant requis via votre pare-feu.
Par exemple, pour autoriser manuellement le trafic Windows Update via votre pare-feu, vous devez créer plusieurs règles d’application conformément à la documentation Microsoft. À l’aide des balises FQDN, vous pouvez créer une règle d’application et inclure la balise Windows Update. Le trafic vers les points de terminaison Microsoft Windows Update peut désormais transiter via votre pare-feu.
Vous ne pouvez pas créer vos propres balises FQDN, ni spécifier quels noms de domaine complets sont inclus dans une balise. Microsoft gère les noms de domaine complets inclus dans la balise FQDN et met à jour la balise en fonction de l’évolution des noms de domaine complets.
Le tableau suivant présente les balises FQDN que vous pouvez actuellement utiliser. Microsoft gère ces balises, et vous pouvez vous attendre à ce que de nouvelles balises soient ajoutées régulièrement.
Balises FQDN actuelles
| Balise FQDN | Description |
|---|---|
| WindowsUpdate | Autoriser un accès sortant à Microsoft Update, comme décrit dans Comment configurer un pare-feu pour les mises à jour logicielles. |
| WindowsDiagnostics | Autoriser l’accès sortant à tous les points de terminaison Windows Diagnostics. |
| MicrosoftActiveProtectionService (MAPS) | Autoriser l’accès sortant à MAPS. |
| AppServiceEnvironment (ASE) | Autoriser l’accès sortant au trafic de plateforme ASE. Cette balise ne concerne pas les points de terminaison SQL et de stockage propres au client créés par ASE. Ceux-ci doivent être activés via les points de terminaison de service ou ajoutés manuellement. Pour plus d’informations sur l’intégration du Pare-feu Azure avec l’ASE, consultez Verrouillage d’un App Service Environment. |
| AzureBackup | Autoriser l’accès sortant aux services de sauvegarde Azure. |
| AzureHDInsight | Autoriser l’accès sortant au trafic de plateforme HDInsight. Cette balise ne concerne pas le trafic SQL et de stockage propre au client provenant de HDInsight. Activer à l’aide de points de terminaison de service ou ajouter manuellement. |
| WindowsVirtualDesktop | Autorise le trafic sortant de la plateforme Azure virtual desktop (anciennement Windows virtual desktop). Cette étiquette ne concerne pas les points de terminaison Service Bus et de stockage propres au déploiement créés par Azure Virtual Desktop. En outre, des règles de réseau DNS et KMS sont requises. Pour plus d’informations sur l’intégration du Pare-feu Azure à Azure Virtual Desktop, consultez Utiliser le Pare-feu Azure pour protéger les déploiements de Azure Virtual Desktop. |
| AzureKubernetesService (AKS) | Autorise l’accès sortant à AKS. Pour plus d’informations, consultez Utiliser le Pare-feu Azure pour protéger des déploiements d’Azure Kubernetes Service (AKS). |
| Office365 Par exemple : Office365.Skype.Optimize |
Plusieurs balises Office 365 sont disponibles pour autoriser l’accès sortant par Office 365 produit et catégorie. Pour plus d’informations, consultez Utiliser le Pare-feu Azure pour protéger Office 365. |
| Windows365 | Autorise les communications sortantes à Windows 365, à l’exclusion des points de terminaison réseau pour Microsoft Intune. Pour autoriser les communications sortantes vers le port 5671, créez une règle de réseau séparée. Pour plus d’informations, consultez Configuration exigée pour le réseau pour Windows 365. |
| MicrosoftIntune | Autorisez l’accès à Microsoft Intune pour les appareils gérés. |
Notes
Lorsque vous sélectionnez une balise FQDN dans une règle d’application, le champ protocol:port doit être défini sur https.
Étapes suivantes
Pour savoir comment déployer un pare-feu Azure, consultez le didacticiel : Déployer et configurer un pare-feu Azure à l’aide du portail Azure